Texto aprobado el di\u0301a 25 de noviembre de 2017 por el Comite\u0301 de Calidad y Seguridad. Esta Poli\u0301tica de Seguridad de la Informacio\u0301n es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Poli\u0301tica.<\/p>\n
Este texto anula el anterior, que fue aprobado el di\u0301a 23 de noviembre de 2015 por el Comite\u0301 de Direccio\u0301n.<\/p>\n
VISUALIZA depende de los sistemas TI (Tecnologi\u0301as de Informacio\u0301n) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a dan\u0303os accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la informacio\u0301n tratada o los servicios prestados.<\/p>\n
El objetivo de la seguridad de la informacio\u0301n es garantizar la calidad de la informacio\u0301n y la prestacio\u0301n continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.<\/p>\n
Los sistemas TI deben estar protegidos contra amenazas de ra\u0301pida evolucio\u0301n con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la informacio\u0301n y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestacio\u0301n continua de los servicios. Esto implica que los departamentos dentro del alcance deben aplicar las medidas mi\u0301nimas de seguridad exigidas en este documento, asi\u0301 como realizar un seguimiento continuo de los niveles de prestacio\u0301n de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.<\/p>\n
Los departamentos dentro del alcance deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.<\/p>\n
Todos los departamentos de VISUALIZA deben evitar, o al menos prevenir en la medida de lo posible, que la informacio\u0301n o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mi\u0301nimas de seguridad determinadas en este documento, asi\u0301 como cualquier control adicional identificado a trave\u0301s de una evaluacio\u0301n de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.<\/p>\n
Para garantizar el cumplimiento de la poli\u0301tica, los departamentos dentro del alcance deben:<\/p>\n\nAutorizar los activos antes de entrar en operacio\u0301n.\nEvaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuracio\u0301n realizados de forma rutinaria.\nSolicitar la revisio\u0301n perio\u0301dica por parte de terceros con el fin de obtener una evaluacio\u0301n independiente.\n\n
Dado que los servicios se pueden degradar ra\u0301pidamente debido a incidentes, que van desde una simple desaceleracio\u0301n hasta su detencio\u0301n, los servicios deben monitorizar la operacio\u0301n de manera continua para detectar anomali\u0301as en los niveles de prestacio\u0301n de los servicios y actuar en consecuencia segu\u0301n lo establecido y en los controles sobre Seguridad de las Operaciones.<\/p>\n
La monitorizacio\u0301n es especialmente relevante cuando se establecen li\u0301neas de, para lograrlo se establecera\u0301n mecanismos de deteccio\u0301n, ana\u0301lisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviacio\u0301n significativa de los para\u0301metros que se hayan preestablecido como normales.<\/p>\n
Los departamentos dentro del alcance deben:<\/p>\n\nEstablecer mecanismos para responder eficazmente a los incidentes de seguridad.\nDesignar puntos de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos.\nEstablecer protocolos para el intercambio de informacio\u0301n relacionada con el incidente.\n\n
Para garantizar la disponibilidad de los servicios cri\u0301ticos, los departamentos dentro del alcance deben desarrollar planes de continuidad de los sistemas TI como parte de su plan general de continuidad de negocio y actividades de recuperacio\u0301n.<\/p>\n
Para los sistemas de informacio\u0301n que residen en:<\/p>\n\nAlojamiento fi\u0301sico de servidores de terceros\nGestio\u0301n de back up\n\n
de acuerdo a la declaracio\u0301n de aplicabilidad vigente.<\/p>\n
La misio\u0301n de VISUALIZA es solucionar la automatizaci\u00f3n de la informaci\u00f3n como activo de las organizaciones, entendida esta en un sentido amplio.<\/p>\n
VISUALIZA se esfuerza en cumplir con toda la legislacio\u0301n aplicable a su actividad, ya sea de cara\u0301cter general (Co\u0301digo de Comercio, Co\u0301digo Civil, etc.) o especi\u0301fico y las leyes de los pa\u00edses en donde opera, con respecto a:<\/p>\n\nLey de Proteccio\u0301n de Datos.\nServicios de la Sociedad de la Informacio\u0301n y de Comercio Electro\u0301nico.\n\n
El Comite\u0301 de Calidad y Seguridad estara\u0301 formado por el Director Financiero y por el Director Regional, que podra\u0301n estar auxiliados de manera permanente o espora\u0301dica por consultores externos.<\/p>\n
El Secretario del Comite\u0301 de Calidad y Seguridad sera\u0301 el Gerente de cada oficina (o persona en quien delegue) y tendra\u0301 como funciones la preparacio\u0301n de las reuniones, la difusio\u0301n de sus resultados y el seguimiento de los acuerdos alcanzados.<\/p>\n
El Comite\u0301 de Calidad y Seguridad reportara\u0301 al Comite\u0301 de Direccio\u0301n.<\/p>\n
El Comite\u0301 de Calidad y Seguridad, tendra\u0301 las siguientes funciones:<\/p>\n\nCoordinar y aprobar las acciones en materia de seguridad de la informacio\u0301n.\nImpulsar la cultura en seguridad de la informacio\u0301n.\nParticipar en la categorizacio\u0301n de los sistemas y el ana\u0301lisis de riesgos.\nRevisar y aprobar la documentacio\u0301n relacionada con la seguridad del sistema.\nResolver discrepancias y problemas que puedan surgir en la gestio\u0301n de la seguridad.\n\n
El Director Financiero de VISUALIZA asume la funcio\u0301n de Responsable del Sistema de Seguridad.<\/p>\n
Las funciones del Responsable de Seguridad de la Informacio\u0301n son las siguientes:<\/p>\n\nMantener el nivel adecuado de seguridad de la informacio\u0301n manejada y de los servicios prestados por los sistemas.\nRealizar o promover las auditori\u0301as perio\u0301dicas para verificar el cumplimiento de los acuerdos.\nGestionar o promover la formacio\u0301n y concienciacio\u0301n en materia de seguridad TI.\nComprobar que las medidas de seguridad existente son las adecuadas para las necesidades de la entidad, con la colaboracio\u0301n del Director Regional.\nRevisar, completar y aprobar toda la documentacio\u0301n relacionada con la seguridad del sistema, con el auxilio del resto del Comite\u0301 de Calidad y Seguridad.\nMonitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestio\u0301n de eventos de seguridad y mecanismos de auditori\u0301a implementados en el sistema.\nApoyar y supervisar la investigacio\u0301n de los incidentes de seguridad desde su notificacio\u0301n hasta su resolucio\u0301n, emitiendo informes perio\u0301dicos sobre los ma\u0301s relevantes al Comite\u0301.\nCoordinar el Comite\u0301 de Seguridad Te\u0301cnica.\n\n
El Responsable de Seguridad de la Informacio\u0301n sera\u0301 nombrado por el Comite\u0301 de Direccio\u0301n a propuesta del Comite\u0301 de Calidad y Seguridad.<\/p>\n
El nombramiento se revisara\u0301 cada 2 an\u0303os o cuando el puesto quede vacante.<\/p>\n
Sera\u0301 misio\u0301n del Comite\u0301 de Calidad y Seguridad la revisio\u0301n anual de esta Poli\u0301tica de Seguridad de la Informacio\u0301n y la propuesta de revisio\u0301n o mantenimiento de la misma. La Poli\u0301tica sera\u0301 aprobada por el Comite\u0301 de Direccio\u0301n y difundida para que la conozcan todas las partes afectadas.<\/p>\n
VISUALIZA trata datos de cara\u0301cter personal. El documento de seguridad, al que tendra\u0301n acceso so\u0301lo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de informacio\u0301n de VISUALIZA se ajustara\u0301n a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de cara\u0301cter personal recogidos en el mencionado Documento de Seguridad.<\/p>\n
Todos los sistemas sujetos a esta Poli\u0301tica debera\u0301n realizar un ana\u0301lisis de riesgos, evaluando las amenazas y los riesgos a los que esta\u0301n expuestos. Este ana\u0301lisis se revisara\u0301:<\/p>\n\nregularmente, al menos una vez al an\u0303o.\ncuando cambie sustancialmente la informacio\u0301n manejada.\ncuando cambien los servicios prestados dentro del alcance.\ncuando ocurra un incidente muy grave de seguridad.\ncuando se reporten vulnerabilidades muy graves.\n\n
Los ana\u0301lisis de riesgos se llevara\u0301n a cabo siguiendo siempre una misma metodologi\u0301a, que estara\u0301 procedimentada.<\/p>\n
Esta Poli\u0301tica de Seguridad de la Informacio\u0301n, complementa las poli\u0301ticas de VISUALIZA en materia de Calidad y Medio Ambiente.<\/p>\n
La Poli\u0301tica de Seguridad se desarrollara\u0301 por medio de normativa de seguridad que afronte aspectos especi\u0301ficos. La normativa de seguridad estara\u0301 a disposicio\u0301n de todos los miembros de la organizacio\u0301n que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de informacio\u0301n.<\/p>\n
La normativa de seguridad estara\u0301 disponible en la web de VISUALIZA.<\/p>\n
Todos los trabajadores de VISUALIZA tienen la obligacio\u0301n de conocer esta Poli\u0301tica de Seguridad de la Informacio\u0301n, que es de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comite\u0301 de Calidad y Seguridad disponer los medios necesarios para que la informacio\u0301n llegue a los afectados.<\/p>\n
Se establecera\u0301 un programa de concienciacio\u0301n continua para atender a todos los miembros de VISUALIZA, en particular a los de nueva incorporacio\u0301n.<\/p>\n
Las personas con responsabilidad en el uso, operacio\u0301n o administracio\u0301n de sistemas TI dentro del alcance recibira\u0301n formacio\u0301n para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formacio\u0301n sera\u0301 obligatoria antes de asumir una responsabilidad, tanto si es su primera asignacio\u0301n o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.<\/p>\n
Las terceras partes relacionadas con VISUALIZA, dentro del alcance, firman con la empresa un acuerdo que protege la informacio\u0301n intercambiada.<\/p>\n
Cuando VISUALIZA utilice servicios de terceros o ceda informacio\u0301n a terceros, se les hara\u0301 parti\u0301cipes de esta Poli\u0301tica de Seguridad. Dicha tercera parte quedara\u0301 sujeta a las obligaciones establecidas en dicha Poli\u0301tica, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.<\/p>\n
Cuando algu\u0301n aspecto de la Poli\u0301tica no pueda ser satisfecho por una tercera parte segu\u0301n se requiere en los pa\u0301rrafos anteriores, se requerira\u0301 un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerira\u0301 la aprobacio\u0301n de este informe por los responsables de la informacio\u0301n y los servicios afectados antes de seguir adelante.<\/p>\n\n\n\n\n\n\n\n\n